问题[linux](server)

目标是创建类似 docker 的东西，但使用传统方式，chroot。

我首先创建一个 ext4 分区并将其挂载上，/srv/container/test然后使用 来安装标准 Linux 系统pacstrap /srv/container/test base。我还准备了虚拟内核文件系统：

export ROOTDIR=/srv/container/test
mount -v --bind /dev $ROOTDIR/dev
mount -vt tmpfs tmpfs $ROOTDIR/run
mount -vt sysfs sysfs $ROOTDIR/sys
mount -vt proc proc $ROOTDIR/proc
mount -vt devpts devpts -o gid=5,mode=0620 $ROOTDIR/dev/pts

我通过在本地系统上简单地 chroot 来检查它，并且它可以工作。

但是，当我尝试配置 ssh 服务器以将其用作时ChrootDirectory，它因管道损坏错误而失败，我检查了 ssh 日志：journalctl -u sshd但我没有看到日志中打印的实际错误：

...
Feb 25 03:12:34 zero sshd-session[33517]: Accepted password for root from 10.0.2.15 port 51616 ssh2
Feb 25 03:12:34 zero sshd-session[33517]: debug1: monitor_child_preauth: user root authenticated by privileged process
Feb 25 03:12:34 zero sshd-session[33517]: debug3: mm_get_keystate: Waiting for new keys
Feb 25 03:12:34 zero sshd-session[33517]: debug3: mm_request_receive_expect: entering, type 26
Feb 25 03:12:34 zero sshd-session[33517]: debug3: mm_request_receive: entering
Feb 25 03:12:34 zero sshd-session[33517]: debug3: mm_get_keystate: GOT new keys
Feb 25 03:12:34 zero sshd-session[33517]: debug3: mm_auth_password: user authenticated [preauth]
Feb 25 03:12:34 zero sshd-session[33517]: debug3: user_specific_delay: user specific delay 0.000ms [preauth]
Feb 25 03:12:34 zero sshd-session[33517]: debug3: ensure_minimum_time_since: elapsed 529.640ms, delaying 131.069ms (requested 5.162ms) [preauth]
Feb 25 03:12:34 zero sshd-session[33517]: debug3: mm_do_pam_account entering [preauth]
Feb 25 03:12:34 zero sshd-session[33517]: debug3: mm_request_send: entering, type 102 [preauth]
Feb 25 03:12:34 zero sshd-session[33517]: debug3: mm_request_receive_expect: entering, type 103 [preauth]
Feb 25 03:12:34 zero sshd-session[33517]: debug3: mm_request_receive: entering [preauth]
Feb 25 03:12:34 zero sshd-session[33517]: debug3: mm_do_pam_account returning 1 [preauth]
Feb 25 03:12:34 zero sshd-session[33517]: debug3: send packet: type 52 [preauth]
Feb 25 03:12:34 zero sshd-session[33517]: debug3: mm_request_send: entering, type 26 [preauth]
Feb 25 03:12:34 zero sshd-session[33517]: debug3: mm_send_keystate: Finished sending state [preauth]
Feb 25 03:12:34 zero sshd-session[33517]: debug1: monitor_read_log: child log fd closed
Feb 25 03:12:34 zero sshd-session[33517]: debug3: ssh_sandbox_parent_finish: finished
Feb 25 03:12:34 zero sshd-session[33517]: debug1: PAM: establishing credentials
Feb 25 03:12:34 zero sshd[33514]: debug2: server_accept_loop: child 33517 for connection from 10.0.2.15 to 10.0.2.15 auth done
Feb 25 03:12:34 zero sshd[33514]: debug1: child_close: enter (forcing)
Feb 25 03:12:34 zero sshd-session[33517]: debug3: PAM: opening session
Feb 25 03:12:34 zero sshd-session[33517]: debug2: do_pam_session: auth information in SSH_AUTH_INFO_0
Feb 25 03:12:34 zero sshd-session[33517]: pam_unix(sshd:session): session opened for user root(uid=0) by root(uid=0)

客户端日志中没有任何有用的信息：

...
Authenticated to 10.0.2.15 ([10.0.2.15]:22) using "password".
debug1: channel 0: new session [client-session] (inactive timeout: 0)
debug3: ssh_session2_open: channel_new: 0
debug2: channel 0: send open
debug3: send packet: type 90
debug1: Requesting [email protected]
debug3: send packet: type 80
debug1: Entering interactive session.
debug1: pledge: filesystem
debug3: client_repledge: enter
Read from remote host 10.0.2.15: Connection reset by peer
Connection to 10.0.2.15 closed.
debug3: send packet: type 1
client_loop: send disconnect: Broken pipe

什么原因导致管道破裂？我不清楚。

我的 sshd_config 如下所示：

# Include drop-in configurations
Include /etc/ssh/sshd_config.d/*.conf

# This is the sshd server system-wide configuration file.  See
# sshd_config(5) for more information.

# This sshd was compiled with PATH=/usr/local/sbin:/usr/local/bin:/usr/bin

# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented.  Uncommented options override the
# default value.

#Port 22
#AddressFamily any
#ListenAddress 0.0.0.0
ListenAddress 10.0.2.15
#ListenAddress ::

#HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_ecdsa_key
#HostKey /etc/ssh/ssh_host_ed25519_key

# Ciphers and keying
#RekeyLimit default none

# Logging
#SyslogFacility AUTH
#LogLevel INFO
LogLevel DEBUG3

# Authentication:

#LoginGraceTime 2m
#PermitRootLogin prohibit-password
PermitRootLogin yes
#PermitRootLogin yes
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10

#PubkeyAuthentication yes

# The default is to check both .ssh/authorized_keys and .ssh/authorized_keys2
# but this is overridden so installations will only check .ssh/authorized_keys
AuthorizedKeysFile  .ssh/authorized_keys

#AuthorizedPrincipalsFile none

#AuthorizedKeysCommand none
#AuthorizedKeysCommandUser nobody

# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes

# To disable tunneled clear text passwords, change to no here!
#PasswordAuthentication yes
#PermitEmptyPasswords no

# Change to no to disable s/key passwords
#KbdInteractiveAuthentication yes

# Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
#KerberosGetAFSToken no

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes

# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the KbdInteractiveAuthentication and
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication via KbdInteractiveAuthentication may bypass
# the setting of "PermitRootLogin prohibit-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and KbdInteractiveAuthentication to 'no'.
#UsePAM no

#AllowAgentForwarding yes
#AllowTcpForwarding yes
#GatewayPorts no
#X11Forwarding no
#X11DisplayOffset 10
#X11UseLocalhost yes
#PermitTTY yes
#PrintMotd yes
#PrintLastLog yes
#TCPKeepAlive yes
#PermitUserEnvironment no
#Compression delayed
#ClientAliveInterval 0
#ClientAliveCountMax 3
#UseDNS no
#PidFile /run/sshd.pid
#MaxStartups 10:30:100
#PermitTunnel no
#ChrootDirectory none
#VersionAddendum none

# no default banner path
#Banner none

# override default of no subsystems
Subsystem   sftp    /usr/lib/ssh/sftp-server

# Example of overriding settings on a per-user basis
#Match User anoncvs
#   X11Forwarding no
#   AllowTcpForwarding no
#   PermitTTY no
#   ForceCommand cvs server

# Match User demo
Match User root
        ChrootDirectory /srv/container/test
    PasswordAuthentication yes

根据我的理解，执行以下步骤：a client authenticated by ssh server -> ssh server do chroot -> exec /srv/container/test/usr/bin/bash and the home dir is set to /srv/container/test/root/

它有效吗？

我有一台 Linux 设备 (Raspberry Pi/Ubuntu)，用作物理eth0网络接口和虚拟tap0接口之间的网络桥梁。启动时，设备启动br0并自动使用。然后运行eth0系统服务 (称为)，创建并管理接口。接口也由 自动使用。我需要此设备也可通过 IP 直接寻址，因此我指定了一个静态 IP 地址。所有这些都有效（使用配置文件来管理接口属性）。正如预期的那样，我可以使用 的 IP 通过 SSH 等方式登录设备。serviceAtap0tap0br0br0systemd-networkdbr0

每当我停止serviceA（例如在重新启动之前调整服务的某些配置设置）时，它都会自动销毁tap0（这是预料之中的）。我没有想到的是，设备不再响应 IP br0。

eth0示例：从插入设备的主机，serviceA运行，我可以通过 SSH 连接到设备。运行systemctl stop serviceA使我的 SSH 会话无响应。将键盘和鼠标插入设备显示服务已完全停止，并且处于我期望的状态，但如果serviceA停止（即tap0不存在），我无法使用 IP 地址通过 SSH 连接到设备br0。可能值得注意的是：即使tap0关闭，我也可以ping <IP of br0>正常工作，并且设备会收到来自的请求curl（但不响应它们）。

问题 1：我是否应该期望具有 1 个网络接口和静态 IP 地址的网络桥接器响应该 IP 地址？显然它不会进行任何实际桥接，但我希望该设备仍可通过该 IP 寻址。

问题 #2：如果第一个问题的答案是肯定的（我希望如此），那么对于可能出现的问题，您有什么假设吗？我很乐意将此网络配置的任何部分归咎于主机/设备上的 IP 路由/子网，但不限于此。

我需要帮助来查找为什么我的服务器负载自 2025 年 1 月 1 日 00:00 以来每小时 00:00 准时出现峰值。

我在 godaddy.com 上有一个 16 核 32GB VPS 服务器，运行 Ubuntu 20.04.6 LTS，可处理来自大约 10,000 个 IoT 设备的请求。这些设备有意分散它们的请求，以平衡服务器负载。每个请求大约需要 200 毫秒才能完成。平均服务器负载约为 10，但自今年年初以来，每小时的峰值都会飙升至 40+，然后迅速回落。

• 随时间变化的平均负载和 CPU 压力图确实显示了这个峰值。
• 内存使用情况图表、tcpdump 和 iostat 没有显示这个峰值。
• 检查 journalctl 和 apache 的日志，未显示峰值期间进程活动有任何增加。

如果您有任何关于我还能探索什么的想法，我将不胜感激。

我正在更新 Sendmail 以发出一些警报。例如，如果发生某些事情，sendmail 会向我们发送错误的电子邮件，我们会修复它。

我们遇到了这些电子邮件无法再发送的问题，因此希望更新 Sendmail。我们目前使用的是 8.15 版本，希望升级到最新的 8.18 版本。在文档中，我们看到了以下步骤（仅供参考）：

1. 阅读此顶级目录中 README 文件的 INTRODUCTION 部分中注明的所有 README 文件。

2. 创建任何必要的站点配置构建文件，如 devtools/Site/README 中所述。

3. 在 sendmail/ 目录中，运行“sh ./Build”（详情请参阅 sendmail/README）。

4. 切换到 cf/cf/ 目录（这不是拼写错误）：将最适合您环境的 .mc 文件复制到 sendmail.mc。接下来，按照 cf/README 中的说明进行调整。然后运行“sh ./Build sendmail.cf”。

5. 备份当前的 /etc/mail/sendmail.cf 和 sendmail 二进制文件（其位置因操作系统而异，但通常位于 /usr/sbin 或 /usr/lib）。

6. 将 sendmail.cf 安装为 /etc/mail/sendmail.cf，将 submit.cf 安装为 /etc/mail/submit.cf。这可以在 cf/cf 中使用“sh ./Build install-cf”完成。

继续操作之前，请阅读 sendmail/SECURITY；如果您要从非常旧的版本进行更新，则可能必须为默认安装创建新用户 smmsp 和新组 smmsp。然后通过 cd 返回到 sendmail/ 并运行“sh ./Build install”来安装在步骤 3 中构建的 sendmail 二进制文件。

7. 对于每个相关的 sendmail 实用程序（makemap、mailstats 等），请阅读实用程序目录中的 README（如果存在）。当您准备安装时，请备份已安装的版本并键入“sh ./Build install”。

8. 如果您从旧版本的 sendmail 升级并且正在使用任何数据库映射，请务必使用新版本的 makemap 重建它们，以防您现在使用不同（因此不兼容）版本的 Berkeley DB。

我已经顺利完成步骤 1-5，但在步骤 6 中遇到了以下错误：

使用 M4=/usr/bin/m4 ../../devtools/bin/install.sh -c -o root -g bin -m 0444 sendmail.cf /etc/mail/sendmail.cf make: execvp: ../../devtools/bin/install.sh: 权限被拒绝 make: *** [Makefile:83: install-sendmail-cf] 错误 127

我查看了 install.sh 文件的权限，目前权限为 755，所有权为 2004 2004

不幸的是，这超出了我的理解范围。任何帮助我都会很感激。

尝试按照提供的步骤操作，但遇到了一些错误。检查权限。碰壁。

我有一个需要挂载 NFS 的服务，但是失败了。

我使用 systemd escape 创建了一个挂载文件。挂载文件本身可以工作，启动后挂载点可用。它看起来像这样：

[Unit]
After=network.target

[Mount]
Type=nfs
What=10.1.1.10:/opt/company/product-category/product-name/mnt
Where=/opt/company/product-category/product-name/mnt
Options=rw,user,exec

[Install]
WantedBy=multi-user.target

我补充道RequiresMountFor=/opt/company/product-category/product-name/mnt。

据我所知，这应该足以让我的服务等待 NFS 共享。我的程序需要 NFS 可用，它会尝试读取那里的文件，如果不可用，则会失败。所以我不确定这里出了什么问题。我猜是因为 NFS 太慢了，而 systemd 认为 NFS 可用。

如果我添加ExecStartPre=/usr/bin/sleep 3到我的服务中它就会起作用。

您发现任何错误了吗？

我们在 RHEL9.5 (5.14.0-503.22.1.el9_5.x86_64) 上安装了 XFS 卷，上面只有 88K 个文件：

$ find /mnt -type f | wc -l
87739

文件系统报告可用空间约为 200GB。但是，实际使用空间约为 4TB。

$ df /mnt
Filesystem        1K-blocks         Used Available Use% Mounted on
/dev/sda1      558602657792 558397210232 205447560 100% /mnt

$ du -s /mnt
554502450484    /mnt

文件系统总大小与文件大小总和之间的差异

558602657792 - 554502450484
4100207308

丢失的空间在哪里？我们如何才能恢复它？正如其他答案所建议的那样，我们尝试了xfs_fsr和xfs_repair，但没有任何变化。

我有一个非常简单的设置，需要将流量从 WireGuard 接口（wg0）转发到连接到 LAN 接口（enp0s25）的主机。

[ other LAN host ] <---> enp0s25 [ server ] wg0 <---> [ remote peer]
   10.131.12.2          10.131.12.19   10.131.6.6      10.131.6.1

# sysctl -n net.ipv4.ip_forward
1
# nft list ruleset
table inet firewall {
        chain postrouting {
                type nat hook postrouting priority srcnat; policy accept;
                iifname "wg0" masquerade
                oifname "wg0" masquerade
        }
}

这很好用。但是，我想使用虚拟机，因此我在 中创建了一个桥接接口/etc/network/interfaces，其 mac 地址与 相同enp0s25：

allow-hotplug enp0s25
iface enp0s25 inet manual

auto br0
iface br0 inet dhcp
        bridge_ports enp0s25
        hwaddress ether d0:50:99:89:8d:e0

[ other LAN host ] <---> enp0s25/br0 [ server ] wg0 <---> [ remote peer]
   10.131.12.2           10.131.12.19       10.131.6.6      10.131.6.1

现在，我只能从 访问机器本身wg0，而不能访问 LAN 中的任何其他机器。

tcpdump 显示（为清楚起见，在 IP 地址中添加了描述）：

# tcpdump -i wg0 icmp
11:48:35.968486 IP 10.131.6.1 (remote wg peer) > 10.131.12.2 (other LAN host): ICMP echo request, id 18176, seq 1072, length 64
11:48:37.049028 IP 10.131.6.1 (remote wg peer) > 10.131.12.2 (other LAN host): ICMP echo request, id 18176, seq 1073, length 64
11:48:37.966377 IP 10.131.6.1 (remote wg peer) > 10.131.12.2 (other LAN host): ICMP echo request, id 18176, seq 1074, length 64

# tcpdump -i enp0s25 icmp
11:48:35.968513 IP 10.131.12.19 (this host) > 10.131.12.2 (other LAN host): ICMP echo request, id 18176, seq 1072, length 64
11:48:35.968752 IP 10.131.12.2 (other LAN host) > 10.131.12.19 (this host): ICMP echo reply, id 18176, seq 1072, length 64
11:48:37.049057 IP 10.131.12.19 (this host) > 10.131.12.2 (other LAN host): ICMP echo request, id 18176, seq 1073, length 64
11:48:37.049300 IP 10.131.12.2 (other LAN host) > 10.131.12.19 (this host): ICMP echo reply, id 18176, seq 1073, length 64
11:48:37.966399 IP 10.131.12.19 (this host) > 10.131.12.2 (other LAN host): ICMP echo request, id 18176, seq 1074, length 64

请求从远程 WG 主机发送到另一个 LAN 主机，并返回到服务器，但由于某种原因无法返回到远程 WG 主机。

破坏此转发设置的桥接接口有何不同？

我添加了一些日志记录规则，试图找出通过 nftables 的路径。红线是 ICMP 回显请求，蓝线是回显回复。它似乎在 inet 预路由阶段“消失”，它没有出现在输入钩子或转发钩子中。

如果我想存储不适合的额外用户信息/etc/passwd，例如电子邮件、身份证号码、生日等，最好的存储方式是什么，以便于获取并且可以被通用工具访问？

我是否只需要设置 LDAP，或者是否存在一种通常用于此类信息的不太重要的方法？

我尝试将来自 127.0.0.1:8095 的数据包重定向到本地网络 10.11.12.5 : 22 中的另一台主机。例如，我想实现：

ssh [email protected] -p 8095 

并重定向至

ssh [email protected] 

我正在使用 nat 表的 OUTPUT 链：

iptables -t NAT -A OUTPUT -p tcp --dport 8095 -j DNAT --to-destination 10.11.12.5:22

但它不起作用。我尝试使用以下选项扩展上述规则：

-o lo
--source 127.0.0.1
--destination 127.0.0.1

但没有人帮助解决这个问题。我的 /etc/sysctl.conf 中也有：

net.ipv4.ip_forward = 1
net.ipv4.conf.eth0.route_localnet = 1

你能解释一下吗，我做错了什么？

一个服务如何向另一个在 Kerberos 中注册的服务进行身份验证？就我而言，这两个服务由不同的服务帐户拥有，因此它们无法像普通用户那样运行kinit，例如，每 10 小时到期时刷新一次。因此，当一个服务需要另一个服务时，它如何在没有 TGT（票证授予票证）的情况下获得 Kerberos 票证？

更具体地说，我运行一个 Apache Web 服务器来提供对 Subversion 存储库的访问。它的服务帐户和 SPN（服务主体名称）在 Kerberos 中注册。我还运行一个 Jenkins 服务器，有时需要签出这些存储库。普通用户可以向两个服务器进行身份验证：仅在运行kinit后才向 Apache 进行身份验证，以及通过 LDAP 向 Jenkins 进行身份验证。由于 Jenkins 服务帐户无法每 10 小时运行一次kinit ，全天候运行，因此它如何向 Apache 进行身份验证以访问 Subversion 存储库？

这听起来很相似，但没有好的答案。而且 Jenkins的 Kerberos 插件用于向 Jenkins 验证用户身份，而不是向 Apache 验证 Jenkins 身份。还有这个晦涩难懂、已弃用的解决方案，但我不知道它是否还适用。而且这个问题似乎应该独立于任何特定服务器，只是一个服务器试图向另一个使用 Kerberos 的服务器进行身份验证。